Multiples vulnérabilités découvertes dans les produits Schneider Electric [08/07/2025]
Le CERT-FR a publié un avis de sécurité le 08/07/2025 concernant la découverte de multiples vulnérabilités dans plusieurs produits Schneider Electric. Ces failles présentent des niveaux de risque variables et affectent principalement les solutions de gestion énergétique et de monitoring industriel.
Risques identifiés
- Exécution de code arbitraire à distance
- Élévation de privilèges
- Déni de service à distance
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Falsification de requêtes côté serveur (SSRF)
Systèmes concernés
- EcoStruxure IT Data Center Expert : versions 8.3 et antérieures
- EcoStruxure Power Monitoring Expert (PME) : versions antérieures à 2024 R2
- EcoStruxure Power Operation (EPO) : versions 2022 (≤ CU6) et 2024 (≤ CU1)
- Advanced Reporting and Dashboards Module : versions antérieures à 2024
Vulnérabilités CVE
Treize vulnérabilités CVE ont été identifiées dans ce bulletin :
CVE récentes (2025) :
- CVE-2025-50121, CVE-2025-50122, CVE-2025-50123, CVE-2025-50124, CVE-2025-50125
- CVE-2025-6438, CVE-2025-6788
CVE antérieures :
- CVE-2022-45198, CVE-2023-35945, CVE-2023-44487
- CVE-2023-50447, CVE-2023-5217, CVE-2024-28219
Ces vulnérabilités affectent différents composants des solutions EcoStruxure selon les produits et versions utilisés.
Solutions
Les utilisateurs des produits concernés doivent :
- Consulter les bulletins de sécurité Schneider Electric SEVD-2025-189-01, SEVD-2025-189-03 et SEVD-2025-189-04 pour obtenir les correctifs spécifiques à leur environnement
- Appliquer les mises à jour disponibles selon les recommandations de l’éditeur pour chaque produit affecté
- Mettre en place des mesures de protection temporaires si les correctifs ne peuvent pas être appliqués immédiatement
Source : CERT-FR, Avis CERTFR-2025-AVI-0565